Wifi in hotel of restaurant is pak veiliger geworden: “Maar uitbater kan nog altijd zien welke sites je bezoekt”

Het Amerikaanse technologiemagazine Wired zet het licht zonder enige reserve op groen: ‘Wie met eindejaar op reis gaat en zich afvraagt of hij in de luchthaven of het hotel wel gebruik zou maken van het draadloos netwerk, moet niet meer twijfelen. Tot voor een paar jaar geleden was het antwoord categoriek “neen”. Maar vandaag, in het jaar des heren 2018? Ga ervoor!’

Het is een opvallend advies van het blad dat al 25 jaar voor een breed publiek schrijft over (onder andere) de evolutie van het internet en de risico’s die eraan gekoppeld zijn. Her en der verschenen de afgelopen jaren verhalen over hoe we onze diepste cybergeheimen te grabbel gooien door onbezorgd op hotel, café of restaurant gebruik te maken van de plaatselijke wifiverbinding. In België gaf de politie bij het begin van de zomer reizigers de raad mee om op zulke plekken geen sites te bezoeken waarvoor een gebruikersnaam of wachtwoord nodig zijn, ‘behalve wanneer het om een beveiligde verbinding gaat’.

Daar ligt het kalf vandaag gebonden. Zeker in de westerse wereld werkt de overgrote meerderheid van websites met zo’n beveiligde verbinding. Dat is ook de reden voor Wired om te zeggen dat de hotelwifi helemaal niet meer zo riskant is: ‘Technisch gezien kan het nog altijd gebeuren dat hackers elke online beweging volgen of je wachtwoord of kredietkaartgegevens stelen via vervalste websites. Maar een kritieke evolutie van het internet heeft dat soort hackingpogingen veel minder effectief gemaakt: de komst van HTTPS.’ Daardoor is het voor criminelen dikwijls minder de moeite om misbruik te maken van openbare netwerken.

WWW.Wartaal

Die ‘HTTPS’ en de ‘beveiligde verbinding’ waar de Belgische politie naar verwijst, komen grotendeels op hetzelfde neer.

Het letterwoord staat voor ‘hypertext transfer protocol’ – dat is de taal waarmee sites en computers met elkaar communiceren – met een belangrijke extra: de ‘s’ van ‘security’. Wanneer u een site bezoekt en voor het www-adres staat er ‘https’, dan verloopt de communicatie tussen uw pc en die site beveiligd. Hackers die de communicatie onderscheppen, krijgen alleen wartaal te pakken omdat alles versleuteld is. Ze kunnen bijvoorbeeld wel zien dat je op Facebook zit, maar niet welk wachtwoord je gebruikt of wat je daar verder intikt. In maart 2016 gebruikten slechts 21 van de wereldwijd meest bezochte sites die beveiligde communicatiemethode, vandaag zijn dat er 70. Ongeveer 84 procent van de websites die in Duitsland met de Firefox-browser worden bezocht, maken gebruik van https.

Ook in België ligt dat aantal hoog. (De site van Het Belang van Limburg wordt momenteel stapsgewijs overgezet, de privacygevoelige onderdelen zijn daarbij al als eerste beveiligd.) Je herkent de websites wanneer er een slotje staat voor het www-adres in de balk bovenaan. Wel belangrijk is dat slotje alleen zegt dat de verbinding met de site veilig verloopt. De site zelf kan nog altijd op poten gezet zijn door cybercriminelen met slechte bedoelingen. Maar daarbij maakt het niet uit of je de site dan bezoekt vanop je eigen veilige wifinetwerk thuis of aan het zwembad in Spanje.

‘Bovendien waarschuwen internetbrowsers (zoals Safari, Chrome, Edge of Firefox, red.) je ervoor wanneer je een site bezoekt die door hackers kan overgenomen zijn’, zegt Maxim Deweerdt, security researcher bij het bedrijf Darkmatter. ‘De beveiligingsproblemen die overblijven wanneer het gaat over openbare netwerken, hebben vooral te maken met de vraag hoeveel je over jezelf wilt vrijgeven aan de eigenaar van het draadloze netwerk. In een koffiebar met gratis wifi kan de uitbater, als hij dat zou willen, uiteindelijk nog altijd zien welke sites zijn klanten bezoeken. Zo’n informatie kan altijd van pas komen bij bijvoorbeeld marketing op basis van interesse.’

Roaming

Het is dus aan de gebruiker zelf om uit te maken of gratis internet de vrijgave van die info waard is. Doordat het moeilijker geworden is om andere data te ontfutselen via openbare netwerken, richten criminelen zich op andere ingangen. Deweerdt: ‘Airdrop bijvoorbeeld, waarmee toestellen van Apple gegevens met elkaar kunnen uitwisselen. Of diensten waarmee je bestanden en mappen deelt. Bij veel mensen is dat standaard geactiveerd omdat ze het thuis gebruiken. Maar in een andere omgeving riskeer je dat ook anderen dat kunnen zien.’

Voor de doorsnee hotelgast die zijn Instagram eens wil updaten, houdt de wifi niet meer zo’n risico in. Wie gevoelige informatie krijgt of verstuurt via het internet, doet dat op verplaatsing toch beter via een andere weg. Je hoeft het daarbij niet ver te zoeken: ‘3G en 4G zijn nog altijd veiliger én roaming binnen de EU is gratis’, vindt het Centre for Cyber Security Belgium. ‘We raden nog steeds aan om dit op vakantie te gebruiken, ook omdat niet alle sites https hebben. En er zijn ook andere zaken die verkeerd kunnen lopen, zoals besmetting met malware tijdens de login-procedure op het netwerk. Vraag op hotel of restaurant ook altijd de juiste naam van het netwerk, want criminelen kunnen dat soms proberen te imiteren. Wie er verstandig mee omspringt, loopt weinig gevaar. Dat geldt voor alles wat je online doet.’